Управление серверами с поддержкой Azure Arc с помощью Центра администрирования Windows в Azure

Использование Windows Admin Center в портал Azure позволяет управлять операционной системой Windows Server серверов с поддержкой Arc, известной как гибридные компьютеры. Вы можете безопасно управлять гибридными компьютерами из любого места, не нуждаясь в VPN, общедоступном IP-адресе или другом входящего подключения к вашему компьютеру. Дополнительные сведения о серверах с поддержкой Arc см. в статье "Что такое серверы с поддержкой Azure Arc?".

С расширением Windows Admin Center в Azure вы получаете функции управления, настройки, устранения неполадок и обслуживания для управления серверами с поддержкой Arc в портал Azure. Для управления инфраструктурой и рабочей нагрузкой Windows Server больше не требуется устанавливать протокол удаленного рабочего стола или протокол удаленного рабочего стола (RDP) — все это можно сделать в собственном коде из портал Azure. Windows Admin Center предоставляет средства, которые обычно находятся в диспетчер сервера, диспетчер устройств, диспетчере задач, диспетчере задач, диспетчере Hyper-V и большинстве других средств консоли управления Майкрософт (MMC).

В этой статье представлен обзор использования Windows Admin Center в портал Azure, требованиях и установке Windows Admin Center в портал Azure и использовании его для управления гибридным компьютером. Он также отвечает на часто задаваемые вопросы и предоставляет список известных проблем и советов по устранению неполадок в случае, если что-то не работает.

Обзор Центра администрирования Windows в Azure

Центр администрирования Windows в портал Azure предоставляет основные средства для управления Windows Server, работающей на одном гибридном компьютере. Вы можете управлять гибридными компьютерами без необходимости открывать все входящие порты на брандмауэре.

С помощью Центра администрирования Windows в портал Azure вы можете управлять следующими способами:

• Сертификаты
• .
• События
• Файлы и общий доступ к файлам
• Брандмауэр
• Установленные приложения
• Локальные пользователи и группы
• Монитор производительности
• PowerShell
• Процессы
• Реестр
• Удаленный рабочий стол
• Роли и компоненты
• Запланированные задачи
• Службы
• Память
• Обновления
• Виртуальные машины
• Виртуальные коммутаторы

В настоящее время мы не поддерживаем другие расширения Для Windows Admin Center в портал Azure.

Требования

В этом разделе приведены требования к использованию Windows Admin Center в портал Azure для управления гибридным компьютером:

• Учетная запись Azure с активной подпиской
• Разрешения Azure
• Доступность региона Azure
• Требования к гибридному компьютеру
• Требования к сети

учетная запись Azure с активной подпиской.

Для развертывания Windows Admin Center потребуется учетная запись Azure с активной подпиской. Если ее еще нет, можно создать учетную запись бесплатно.

Во время развертывания Windows Admin Center мы попытаемся зарегистрировать поставщик ресурсов Microsoft.HybridConnectivity для вашей подписки.

Чтобы проверить состояние поставщика ресурсов и при необходимости зарегистрировать его, сделайте следующее:

1. Войдите на портал Azure.
2. Выберите Подписки.
3. Выберите имя подписки.
4. Выберите параметр Поставщики ресурсов.
5. Найдите Microsoft.HybridConnectivity.
6. Убедитесь, что состояние Microsoft.HybridConnectivity зарегистрировано.
   1. Если состояние не зарегистрировано, выберите Microsoft.HybridConnectivity и нажмите кнопку Register.

Разрешения Azure

Чтобы установить расширение Windows Admin Center для ресурса сервера с поддержкой Arc, ваша учетная запись должна быть предоставлена роли "Владелец", "Участник" или "Администратор Центра администрирования Windows" в Azure.

Для подключения к Центру администрирования Windows требуется разрешение на вход читателя и администратора Центра администрирования Windows в ресурсе сервера с поддержкой Arc.

Дополнительные сведения о назначении ролей Azure с помощью портал Azure

Доступность по регионам Azure

Windows Admin Center поддерживается в следующих регионах Azure:

• Восточная Австралия
• Южная Бразилия
• Центральная Канада
• Восточная Канада
• Центральная Индия
• Центральная часть США
• Восточная Азия
• Восточная часть США
• Восточная часть США 2
• Центральная Франция
• Восточная Япония
• Республика Корея, центральный регион
• Центрально-северная часть США
• Северная Европа
• Северная часть ЮАР;
• Центрально-южная часть США
• Юго-Восточная Азия
• Центральная Швеция
• Северная Швейцария
• Северная часть ОАЭ;
• южная часть Соединенного Королевства
• западная часть Соединенного Королевства
• центрально-западная часть США
• Западная Европа
• западная часть США
• западная часть США 2
• Западная часть США — 3

Требования к гибридному компьютеру

Чтобы использовать Windows Admin Center в портал Azure, агент Центра администрирования Windows должен быть установлен на каждом гибридном компьютере, который вы хотите управлять с помощью расширения виртуальной машины Azure. Прежде чем продолжить работу, убедитесь, что компьютер подключен к Azure Arc. Дополнительные сведения о подключении компьютера к Azure Arc см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc". Гибридный компьютер должен отвечать следующим требованиям:

• Windows Server 2016 или более поздней версии.
• 3 ГБ ОЗУ или больше
• Агент Azure Arc версии 1.13.21320.014 или более поздней
• Необходимо использовать типы лицензий Windows Server с оплатой по мере использования или Software Assurance.

Требования к сети

Гибридный компьютер должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету или правило исходящего порта, разрешающее трафик HTTPS к следующим конечным точкам:

  • *service.waconazure.comWindowsAdminCenter или тег службы
  • pas.windows.net
  • *.servicebus.windows.net

Компьютер управления, на котором выполняется портал Azure, должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету через порт 443

Перед доступом к порталу Azure с компьютера или системы управления проверьте список поддерживаемых устройств и рекомендуемых браузеров.

Установка Центра администрирования Windows в портал Azure

Прежде чем использовать Windows Admin Center в портал Azure, необходимо развернуть расширение виртуальной машины Windows Admin Center, выполнив следующие действия.

1. Откройте портал Azure и перейдите на сервер с поддержкой Arc.
2. В группе "Параметры" выберите Центр администрирования Windows.
3. Укажите порт, на котором вы хотите установить Windows Admin Center, и нажмите кнопку "Установить".

Подключение к Центру администрирования Windows в портал Azure

После установки Windows Admin Center на гибридном компьютере выполните следующие действия, чтобы подключиться к нему и использовать его для управления Windows Server:

1. Откройте портал Azure и перейдите на сервер с поддержкой Arc, а затем в группе параметров выберите Windows Admin Center (предварительная версия).
2. Нажмите Подключиться.

Windows Admin Center открывается на портале, предоставляя вам доступ к тем же средствам, с которыми вы могли ознакомиться с помощью Windows Admin Center в локальном развертывании.

Настройка назначений ролей

Доступ к Центру администрирования Windows управляется ролью администратора Центра администрирования Windows.

Чтобы настроить назначения ролей для гибридных компьютеров с помощью интерфейса Центра администрирования Microsoft Entra:

1. Откройте гибридный компьютер, который вы хотите управлять с помощью Windows Admin Center.

2. Выберите Управление доступом (IAM) .

3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Параметр	Значение
   Роль	Вход администратора Windows Admin Center
   Назначить доступ для	Пользователь, группа, субъект-служба или управляемое удостоверение

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

• Назначение ролей Azure с помощью Azure CLI
• Назначьте роли Azure с помощью примеров Azure CLI. Azure CLI также можно использовать в интерфейсе Azure Cloud Shell.
• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью Azure PowerShell

настройки прокси-сервера;

Если компьютер подключен к прокси-серверу для обмена данными через Интернет, ознакомьтесь со следующими требованиями по настройке сети.

Расширение Windows Admin Center может взаимодействовать через прокси-сервер с помощью протокола HTTPS. Используйте параметры расширений для конфигурации, как описано ниже. Прокси-серверы, прошедшие проверку подлинности, не поддерживаются.

1. Используйте эту блок-схему для определения значений Settings параметров

2. После определения значений Settings параметров укажите эти другие параметры при развертывании агента AdminCenter. Используйте команды PowerShell, как показано в следующем примере:

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

Принцип работы

Используя Windows Admin Center в Azure, вы можете подключиться к гибридному компьютеру без необходимости включения какого-либо входящего порта в брандмауэре. Центр администрирования Windows через агент Arc может безопасно установить подключение обратного прокси-сервера со службой Azure Arc в исходящем режиме.

Для каждого гибридного компьютера, которым требуется управлять с помощью Windows Admin Center в портал Azure, необходимо развернуть агент на каждом компьютере.

Агент взаимодействует с внешней службой, которая управляет сертификатами, чтобы можно было легко подключиться к гибридному компьютеру.

При нажатии кнопки "Установить" выполняются следующие действия:

1. Регистрирует поставщик ресурсов Microsoft.HybridConnectivity в подписке. Поставщик ресурсов размещает прокси-сервер, используемый для связи с сервером с поддержкой Arc.
2. Развертывает ресурс конечной точки Azure на вершине ресурса с поддержкой Arc, который включает обратное прокси-подключение на указанном порту. Это просто логический ресурс в Azure и не развертывает ничего на самом сервере.
3. На гибридном компьютере с действительным сертификатом TLS устанавливается агент Windows Admin Center.

При нажатии кнопки "Подключить" выполняются следующие действия:

1. Портал Azure запрашивает у поставщика ресурсов Microsoft.HybridConnectivity доступ к серверу с поддержкой Arc.
2. Поставщик ресурсов взаимодействует с прокси-сервером SNI уровня 4, чтобы установить короткий доступ к серверу с поддержкой Arc на порту Windows Admin Center.
3. Создается уникальный короткий URL-адрес, а подключение к Центру администрирования Windows устанавливается из портал Azure.

Подключение к Windows Admin Center полностью зашифровано с завершением сеанса SSL на гибридном компьютере.

Автоматизация развертывания Windows Admin Center с помощью PowerShell

Развертывание Windows Admin Center можно автоматизировать в портал Azure с помощью этого примера скрипта PowerShell.

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
$portint = 6516
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $portint}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

Устранение неполадок

Ниже приведены некоторые советы, чтобы попробовать в случае, если что-то не работает. Общие сведения об устранении неполадок Windows Admin Center (не в Azure) см. в разделе "Устранение неполадок с Windows Admin Center".

Не удалось подключиться к "404 конечной точке не найдена"

1. Версия 1.36 и 1.35 агента подключенного компьютера Azure (агент Arc) прерывает подключение к Центру администрирования Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

Не удалось подключиться к ошибке

1. Перезапустите службу HIMDS.

   1. RDP на сервере.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      Restart-Service -Name himds
      

2. Убедитесь, что версия расширения — 0.0.0.169 или более поздняя.

   1. Перейдите к разделу "Расширения"
   2. Убедитесь, что версия расширения AdminCenter — 0.0.0.169 или более поздней.
   3. Если нет, удалите расширение и переустановите его.

3. Убедитесь, что на компьютере запущена служба Windows Admin Center.

   1. RDP на сервере.
   2. Откройте диспетчер задач (CTRL+SHIFT+ESC) и перейдите к службам.
   3. Убедитесь, что serverManagementGateway или Windows Admin Center запущен.
   4. Если она не запущена, запустите службу.

4. Убедитесь, что порт включен для сеанса обратного прокси.

   1. RDP на сервере.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      azcmagent config list
      

   3. В результате должен вернуться список портов в конфигурации incomingconnections.ports (предварительная версия), которые будут подключены из Azure. Убедитесь, что порт, на котором установлен Центр администрирования Windows, находится в этом списке. Например, если Windows Admin Center установлен на порте 443, результатом будет:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. В случае, если он не указан в этом списке, выполните команду

      azcmagent config set incomingconnections.ports <port>
      

      Если вы используете другой интерфейс (например, SSH) с помощью этого решения, можно указать несколько портов, разделенных запятой.

5. Убедитесь, что у вас есть исходящее подключение к необходимым портам

   1. Гибридный компьютер должен иметь исходящее подключение к следующим конечным точкам:
      • *.wac.azure.com,*.waconazure.com или WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Одно из средств Windows Admin Center не загружается или возвращает ошибку

1. Перейдите к любому другому инструменту в Windows Admin Center и вернитесь к другому инструменту, который не загружается.

2. Если другое средство не загружается, проблема может быть связана с сетевым подключением. Попробуйте закрыть колонку и снова подключиться. Если это не поможет, отправьте запрос в службу поддержки.

Сбой установки расширения Windows Admin Center

1. Дважды проверьте соответствие гибридного компьютера требованиям.

2. Убедитесь, что исходящий трафик в Windows Admin Center разрешен на гибридном компьютере

   1. Проверьте подключение, выполнив следующую команду с помощью PowerShell в виртуальной машине:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Если вы разрешили весь исходящий трафик и получили ошибку из приведенной выше команды, убедитесь, что правила брандмауэра не блокируют подключение.

Если вам кажется, что все в порядке, но Windows Admin Center все равно не устанавливается, отправьте запрос в службу поддержки, указав в нем следующую информацию:

• Журналы из портал Azure. Журналы Windows Admin Center можно найти в разделе "Параметры>расширения>AdminCenter>", чтобы просмотреть подробное состояние.

• Журналы на гибридном компьютере. Выполните следующую команду PowerShell и поделитесь результирующей .zip файлом.

  azcmagent logs
  

• Журналы сетевой трассировки, если это целесообразно. Журналы сетевой трассировки могут содержать данные клиента и конфиденциальные сведения о безопасности, такие как пароли, поэтому перед отправкой мы рекомендуем просмотреть их и удалить всю конфиденциальную информацию.

Известные проблемы

• Режим инкогнито Chrome не поддерживается.
• портал Azure классическое приложение не поддерживается.
• Подробные сообщения об ошибках для неудачных подключений пока недоступны.
• По состоянию на 1 ноября 2024 г. некоторые существующие клиенты не могут использовать Центр администрирования Windows для Azure Arc.
• По состоянию на 1 ноября 2024 г. некоторые клиенты не могут установить или использовать Центр администрирования Windows для Azure Arc, даже при надлежащей аттестации лицензий.

Часто задаваемые вопросы

Найдите ответы на часто задаваемые вопросы об использовании Windows Admin Center в Azure.

Сколько стоит использование Windows Admin Center?

Нет связанных затрат с помощью Центра администрирования Windows в портал Azure.

Можно ли использовать Windows Admin Center для управления виртуальными машинами, работающими на моем сервере?

Роль Hyper-V можно установить с помощью расширения "Роли и компоненты". После установки обновите браузер и Windows Admin Center отображают расширения виртуальной машины и коммутатора.

Какие серверы можно управлять с помощью этого расширения?

Вы можете использовать возможность управления Windows Server 2016 с поддержкой Arc и более поздних версий. Вы также можете использовать Центр администрирования Windows в Azure для управления Azure Stack HCI.

Как в Windows Admin Center осуществляется обеспечение безопасности?

Трафик из портал Azure в Центр администрирования Windows зашифрован. Сервер с поддержкой Arc управляется с помощью PowerShell и WMI через WinRM.

Требуется ли входящий порт для использования Windows Admin Center?

Для использования Windows Admin Center не требуется входящего подключения.

Почему необходимо создать правило исходящего порта?

Для службы, созданной для взаимодействия с сервером, требуется правило исходящего порта. Наша служба выдает вам сертификат бесплатной стоимости для вашего экземпляра Windows Admin Center. Эта служба гарантирует, что вы всегда можете подключиться к экземпляру Центра администрирования Windows из портал Azure, сохранив сертификат WAC в актуальном состоянии.

Кроме того, для доступа к Windows Admin Center из Azure не требуется входящий порт и только исходящее подключение через обратное прокси-решение. Эти правила исходящего трафика необходимы для установления подключения.

Как найти порт, используемый для установки Windows Admin Center?

Чтобы проверить значение параметра реестра SmePort, выполните следующие действия.

1. RDP на сервере
2. Открытие редактора реестра
3. Перейдите к ключу \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
4. Чтение значения для поиска используемого SmePort порта

Можно ли использовать PowerShell или Azure CLI для установки расширения на виртуальной машине?

Да, чтобы установить расширение с помощью Azure CLI, выполните следующую команду из командной строки:

az connectedmachine extension create

Вы также можете установить расширение с помощью PowerShell. Узнайте больше о том, как автоматизировать развертывание Windows Admin Center с помощью PowerShell.

У меня уже есть Windows Admin Center, установленный на моем сервере Arc. Можно ли получить доступ к нему с портала?

Да. Вы можете выполнить те же действия, описанные в этом документе.

Следующие шаги

• Сведения о Windows Admin Center
• Сведения об управлении серверами с помощью Центра администрирования Windows
• Сведения о Azure Arc